Novi malver koristi bag u GateKeeperu za koji Apple zna mesecima

Vesti, 26.06.2019, 02:00 AM

Novi malver koristi bag u GateKeeperu za koji Apple zna mesecima

Istraživači iz kompanije Intego upozorili su na moguće iskorišćavanje nezakrpljene ranjivosti u macOS GateKeeper sigurnosnoj funkciji i PoC-a (Proof of Concept) koji je javno objavljen krajem prošlog meseca.

Istraživači su prošle nedelje otkrili četiri uzorka novog macOS malvera na VirusTotalu koji koriste ranjivost u GateKeeperu sa ciljem pokretanja napadačkog koda na macOS bez prikazivanja upozorenja korisnicima ili traženja njihove eksplicitne dozvole.

Međutim, novootkriveni malver, nazvan OSX/Linker, do sada nije viđen u napadima i čini se da je u fazi razvoja. Iako uzorci koriste ranjivost GateKeepera, oni ne preuzimaju nikakvu zlonamernu aplikaciju sa servera napadača.

Prema rečima Džošue Longa iz Intega, do prošle nedelje, autor malvera je samo obavljao svojevrsno izviđanje u svrhu detekcije. On kaže da je OSX/Linker rad programera OSX/Surfbuyer adwarea.

GateKeeper je sigurnosna funkcija ugrađena u Appleov macOS koja proverava preuzete aplikacije pre nego što im dopusti pokretanje, pomažući korisnicima da zaštite svoje sisteme od zlonamernog softvera.

To znači, ako preuzmete aplikaciju sa interneta, GateKeeper će joj dozvoliti da se pokrene bez ikakvih upozorenja samo ako je potpisana važećim certifikatom koji je izdao Apple, inače će vas pozvati da dozvolite ili odbijete pokretanje aplikacije.

Međutim, GateKeeper je dizajniran da tretira i eksterne diskove (USB ili HDD) i mrežna deljenja kao "bezbedne lokacije" odakle korisnici mogu da pokreću bilo koju aplikaciju bez uključivanja GateKeeperovih provera i zahteva.

Filipo Kavalarin, nezavisni bezbednosni istraživač, krajem prošlog meseca javno je otkrio način na koji je moguće iskoristiti GateKeeper u kombinaciji sa dve druge legitimne funkcije macOS operativnog sistema. Kavalarin je napravio ZIP fajl sa simboličkim linkom za mrežno deljenje koje kontroliše napadač.

Kada žrtva otvori ZIP fajl i klikne na link, preći će na mrežni deo koji kontroliše napadač i kome GateKeeper veruje, zbog čega žrtva može biti prevareena da pokrene maliciozne izvršne fajlove bez ikakvog upozorenja.

Međutim, novootkriveni uzorci malvera nisu ZIP fajlovi, već .dmg (disk image) fajlovi, što pokazuje da tvorci malvera eksperimentišu da bi videli da li će Kavalarinova ranjivost raditi i sa takvim fajlovima.

Kavalarin je obavestio Apple o svom otkriću 22. februara, ali je odlučio da izađe u javnost krajem prošlog meseca pošto kompanija nije uspela da reši ovaj problem u roku od 90 dana i počela je da ignoriše njegove emailove.

Dok Apple ne ispravi ovaj propust, Kavalarin savetuje administratore mreža da blokiraju NFS komunikacije sa spoljnim IP adresama, a kućne korisnike da ne otvaraju priloge iz nepoznatog, sumnjivog ili nepouzdanog izvora.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Nova pravila za Chrome ekstenzije: manje prikupljanja podataka, više transparentnosti

Nova pravila za Chrome ekstenzije: manje prikupljanja podataka, više transparentnosti

Google je najavio značajne izmene pravila za Chrome ekstenzije koje će od programera zahtevati znatno veću transparentnost u vezi sa prikupljanjem ... Dalje

AI agent prvi put bez ljudske intervencije izvršio kompletan ransomware napad

AI agent prvi put bez ljudske intervencije izvršio kompletan ransomware napad

Za ransomware napade ljudi više nisu potrebni: po prvi put, agent veštačke inteligencije je samostalno izvršio ransomware napad, iskorišćavajuc... Dalje

Zašto stručnjaci upozoravaju roditelje da razmisle pre objavljivanja fotografija dece na internetu

Zašto stručnjaci upozoravaju roditelje da razmisle pre objavljivanja fotografija dece na internetu

Sve više stručnjaka upozorava roditelje da dobro razmisle pre nego što objave fotografije ili video snimke svoje dece na internetu, jer razvoj veš... Dalje

Google poremetio rad jednog od najvećih botneta sa oko dva miliona uređaja

Google poremetio rad jednog od najvećih botneta sa oko dva miliona uređaja

Google je saopštio da je značajno poremetio rad jednog od najvećih rezidencijalnih proksi botneta na svetu, poznatog pod nazivom NetNut, koji je pr... Dalje

Apple menja način objavljivanja bezbednosnih ažuriranja zbog AI pretnji

Apple menja način objavljivanja bezbednosnih ažuriranja zbog AI pretnji

Apple menja način objavljivanja bezbednosnih ažuriranja kako bi brže odgovorio na sajber pretnje koje ubrzava razvoj veštačke inteligencije. Komp... Dalje